La dure vie des RSSI bancaires

le 18/04/2007, par Marc Olanié, Actualités, 556 mots

D'un côté le tourbillon de Charybde, la « complexité du message technique qui entoure le phishing », de l'autre le récif Scylla, la nécessité de plaire à la clientèle et de lui débiter un discours simple, voir simpliste. Un de ces dilemmes cornéliens qui émaillent les scènes ubuesques de la vie bancaire en général, et des mécanismes d'authentification en particulier. En voici un nouveau tableau présenté sur le blog de News0ft : BNP Paribas -historiquement banque de Paris et des hanses bataves réunies- font aux clients souhaitant consulter leurs comptes en ligne la proposition suivante : « Mon code secret pour me connecter à BNPParibas.net est difficile à retenir, je le modifie facilement ». A la lecture de ce billet, le client en question retient deux ou trois petites choses : - Le mot de passe constitué de chiffres est trop compliqué à retenir, je vais le remplacer par ma date de naissance (instinct statistiquement reconnu et prouvé par toutes les études sur ce sujet). - La symétrie de l'analyse sémantique de la phase m'indique clairement, à moi, client Populaire des Grands Argentiers de la Frise et de la Seine réunies, que la notion de « difficulté » est associée au vocable « mot de passe » et que le concept de facilité est lié à l'acte modificateur. Le terme difficile étant instinctivement négatif, j'associe donc inconsciemment une connotation péjorative à l'idée même d'authentification. Et du coup, je cherche un nouveau mot de passe « facile »... sans autre précision. A moins d'être doué d'une conscience extralucide, jamais le client sachant cyber-clientéler ne parviendra à deviner l'intention initiale réelle des RSSI de la BNP (Banque Nationale de Paris, de Paris (bis) et des Pays Bas), message très probablement dévoyé par une armada de conseillers en communication dont on se demande s'ils n'ont pas maille à partir (l'expression s'impose étymologiquement) avec les truands des filières du phishing et autres techniques de moissonnage de crédences. Il faut avouer que le message d'origine est complexe, voir impossible à résumer en une ligne. - Par mesure de sécurité, il vous faut, cher, très cher client, changer au plus tôt le mot de passe par défaut que nous vous avons communiqué et qui peut notamment être connu par plusieurs employés de notre établissement. - La pratique d'un mot de passe complexe exige que vous évitiez d'utiliser des termes courants, des suites de chiffres évidentes -dates de naissance y comprises- et que vous puissiez mélanger une agréable palette de caractères Ascii * - Qu'il est souhaitable accessoirement de faire appel à un moyen mnémotechnique efficace, afin d'éviter l'usage du « post-it/memento » collé sur le bord d'un écran ou du fichier « BNPpass.txt » caché dans le dossier « my documents ». Le métier de banquier consiste essentiellement à vendre de la confiance. Et la première preuve de confiance n'est-elle pas de cesser de considérer ses clients comme des individus décérébrés et ses propres RSSI comme des technoïdes aux conseils abstrus, dont les propos exigent un filtrage dialectique dicté par les règles aveugles du « discours corporate » ?

* ndlr : il faut préciser que la banque de la Ville Capitale et du Plat Pays réunis utilise un outil d'identification, le « clavier virtuel strictement numérique » à chiffres de passe permanent et limité (6 chiffres ni plus, ni moins) dont le principe de vulnérabilité a été largement prouvé avant même que le procédé soit en usage en nos contrées (France et Batavie y comprise).

T-Mobile authentifie de manière forte 15000 employés via leur mobile

L'opérateur mobile T-Mobile authentifie 15 000 collaborateurs via leurs téléphones mobiles. Les employés de T-Mobile

le 05/02/2013, par Jean Pierre Blettner, 341 mots

La cybercriminalité va faire l'objet d'un énième rapport du ministère...

Le ministère de l'intérieur entend mieux piloter la lutte contre la cybercriminalité. Le ministre de l'intérieur Manu

le 30/01/2013, par Jean Pierre Blettner, 222 mots

Mega déjà mis en cause pour violation de propriété intellectuelle

Le site de stockage et de partage de fichiers Mega a supprimé du contenu violant la propriété intellectuelle le

le 30/01/2013, par Véronique Arène et IDG News Service, 832 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...